Questo sito utilizza cookies solo per scopi di autenticazione sul sito e nient'altro. Nessuna informazione personale viene tracciata. Leggi l'informativa sui cookies.
Username: Password: oppure
C/C++ - cosa fare per non farsi scoprire le password
Forum - C/C++ - cosa fare per non farsi scoprire le password

Pagine: [ 1 2 ] Precedente | Prossimo
Avatar
giuseppe93 (Ex-Member)
Pro


Messaggi: 166
Iscritto: 02/08/2009

Segnala al moderatore
Postato alle 16:44
Sabato, 10/07/2010
salve a tutti! forse non è la sezione giusta e forse anche il titolo non è molto azzeccato, quindi mi scuso fin da subito, comunque leggendo questo post http://www.pierotofy.it/pages/extras/forum/2/1011074-scopr ... mi è venuto in mente quali sono le "procedure" per evitare di farsi scoprire le password scritte nel sorgente??

PM Quote
Avatar
nessuno (Normal User)
Guru^2


Messaggi: 6381
Iscritto: 03/01/2010

Segnala al moderatore
Postato alle 17:09
Sabato, 10/07/2010
Semplice ... non scriverle nel sorgente.


Ricorda che nessuno è obbligato a risponderti e che nessuno è perfetto ...
---
Il grande studioso italiano Bruno de Finetti (uno dei padri fondatori del moderno Calcolo delle probabilità) chiamava il gioco del Lotto Tassa sulla stupidità.
PM Quote
Avatar
netarrow (Admin)
Guru^2


Messaggi: 2502
Iscritto: 12/05/2004

Segnala al moderatore
Postato alle 18:11
Sabato, 10/07/2010
Di solito si calcola sulla password un'impronta di messaggio, e poi si fa il confronto su quella.

Per rendere più difficile il risalire dall'hash al testo originale si usano di solito salt e iterazioni durante il calcolo dell'impronta.

Cercando su google o direttamente qui su pierotofy.it trovi molti articoli.

PM Quote
Avatar
HeDo (Founder Member)
Guru^2


Messaggi: 2765
Iscritto: 21/09/2007

Segnala al moderatore
Postato alle 19:02
Sabato, 10/07/2010
Testo quotato

Postato originariamente da nessuno:

Semplice ... non scriverle nel sorgente.



già... mi ricorderò sempre una frase tratta da un testo di reverse engineering, faceva circa così: "if you hard-code a password, get ready to recompile over and over"

in poche parole, è così semplice da scoprire, nonostante molti furbi giochetti che si possono applicare, che non vale la pena di farlo.

PM Quote
Avatar
TheKaneB (Member)
Guru^2


Messaggi: 1792
Iscritto: 26/06/2009

Segnala al moderatore
Postato alle 20:54
Sabato, 10/07/2010
un programma che uso spesso, no$gba (un emulatore di GBA e Nintendo DS), usa uno schema di password particolare... questa password (lunga un centinaio di caratteri) contiene i dati dell'utente (ottenuti tramite la registrazione della licenza), dati random e dati di emulazione (cioè pezzi dell'emulatore stesso), il tutto criptato in qualche modo...

Può essere un'idea :-)

PM Quote
Avatar
XBarboX (Member)
Guru


Messaggi: 945
Iscritto: 31/12/2008

Segnala al moderatore
Postato alle 11:12
Domenica, 11/07/2010
Io per un mio programma ho fatto così:
Avevo un file testo che conteneva le credenziali per accedere al database locale e certamente non potevo lasciarle in chiaro...
Allora ho fatto così: Le password le ho criptate e nelle varie classi che ho fatto per quel programma ne ho fatta una anche una per criptare e decriptare, in modo da proteggere i dati.
Però ora mi sorge un dubbio: in java ottenere il codice sorgente da un file .class è piuttosto difficile vero? Perchè se riesce a mettere mano nel sorgente tutto questo lavoro è servito a nulla... Di decompiler ne so nulla.

PM Quote
Avatar
qualcuno (Ex-Member)
Rookie


Messaggi: 37
Iscritto: 30/06/2010

Segnala al moderatore
Postato alle 11:14
Domenica, 11/07/2010
Quoto nessuno e aggiungo:
è anche inutile farlo, perchè se il tuo obbiettivo è "faccio inserire all'utente una password, se è uguale ad x allora faccio continuo nell'esecuzione del programma, altrimenti lo chiudo" allora sì può anche fare a meno di conoscere la password, basta individuare il punto o i punti dove fai il controllo ed magari invertire la logica dei controlli(usare qualche nop, etc...). La cosa ovviamente può essere molto più complicata(molti cicli dove fai i controlli, controlli a blocchi, istruzioni inutili,etc) e può servire a confondere le idee ad un reverser poco esperto(ma molto poco esperto :rofl: ).

Ultima modifica effettuata da qualcuno il 11/07/2010 alle 11:15
PM Quote
Avatar
netarrow (Admin)
Guru^2


Messaggi: 2502
Iscritto: 12/05/2004

Segnala al moderatore
Postato alle 11:16
Domenica, 11/07/2010
Testo quotato


in java ottenere il codice sorgente da un file .class è piuttosto difficile vero?



no, se il codice non è offuscato è una bazzecola.

PM Quote
Avatar
XBarboX (Member)
Guru


Messaggi: 945
Iscritto: 31/12/2008

Segnala al moderatore
Postato alle 11:20
Domenica, 11/07/2010
Testo quotato

Postato originariamente da netarrow:

Testo quotato


in java ottenere il codice sorgente da un file .class è piuttosto difficile vero?



no, se il codice non è offuscato è una bazzecola.


Però deve lo stesso usare un decompiler, altrimenti come fa? Il sorgente è contenuto nel file .java... Non ci capisco più nulla. XD

PM Quote
Pagine: [ 1 2 ] Precedente | Prossimo